Geliştiriciler ve BT yöneticilerinin şüphesiz bir SSL sertifikası kullanarak HTTPS aracılığıyla bazı web sitelerini dağıtma ihtiyacı vardır. Bu süreç bir üretim sitesi için oldukça basit olsa da, geliştirme ve test amacıyla burada bir SSL sertifikası kullanma ihtiyacını da bulabilirsiniz.
Yıllık sertifika satın almanın ve yenilemenin bir alternatifi olarak, Windows Sunucunuzun kullanışlı, kolay ve bu tür ihtiyaçları mükemmel şekilde karşılaması gereken kendinden imzalı bir sertifika oluşturma yeteneğinden yararlanabilirsiniz.
IIS'de Kendinden İmzalı Sertifika Oluşturma
Kendinden imzalı bir sertifika oluşturma görevini gerçekleştirmenin birkaç yolu olsa da, Microsoft'un SelfSSL yardımcı programını kullanacağız. Ne yazık ki, bu IIS ile birlikte gelmez, ancak IIS 6.0 Kaynak Araç Seti'nin bir parçası olarak ücretsiz olarak kullanılabilir (bağlantı bu makalenin altında verilmiştir). "IIS 6.0" ismine rağmen bu yardımcı program IIS 7'de gayet iyi çalışıyor.
Tüm gereken, selfssl.exe yardımcı programını almak için IIS6RT'yi çıkarmaktır. Buradan, ileride başka bir makinede kullanmak üzere Windows dizininize veya bir ağ yoluna / USB sürücüsüne kopyalayabilirsiniz (böylece IIS6RT'nin tamamını indirip çıkarmanız gerekmez).
SelfSSL yardımcı programını yerine getirdikten sonra, <> içindeki değerleri uygun şekilde değiştirerek aşağıdaki komutu (Yönetici olarak) çalıştırın:
selfssl / N: CN = <alaniniz.com> / V: <geçerli gün sayısı>
Aşağıdaki örnek, "alanadim.com" a karşı kendinden imzalı bir joker karakter sertifikası üretir ve bunu 9.999 gün boyunca geçerli olacak şekilde ayarlar. Ayrıca, istemine evet yanıtı verildiğinde, bu sertifika otomatik olarak IIS'nin Varsayılan Web Sitesi içindeki 443 numaralı bağlantı noktasına bağlanacak şekilde yapılandırılır.
Bu noktada sertifika kullanıma hazırken, yalnızca sunucudaki kişisel sertifika deposunda saklanır. Bu sertifikanın güvenilen kökte de ayarlanması en iyi uygulamadır.
Başlat> Çalıştır'a (veya Windows Tuşu + R) gidin ve "mmc" girin. Bir UAC istemi alabilir, kabul edebilirsiniz ve boş bir Yönetim Konsolu açılacaktır.
Konsolda Dosya> Ek Bileşen Ekle / Kaldır'a gidin.
Sol taraftan Sertifikalar ekleyin.
Bilgisayar hesabı seçin.
Yerel bilgisayar'ı seçin.
Yerel Sertifika deposunu görüntülemek için Tamam'ı tıklayın.
Kişisel> Sertifikalar'a gidin ve SelfSSL yardımcı programını kullanarak kurduğunuz sertifikayı bulun. Sertifikaya sağ tıklayın ve Kopyala'yı seçin.
Güvenilen Kök Sertifika Yetkilileri> Sertifikalar'a gidin. Sertifikalar klasörüne sağ tıklayın ve Yapıştır'ı seçin.
SSL sertifikası için bir giriş listede görünmelidir.
Bu noktada, sunucunuzun kendinden imzalı sertifika ile çalışırken herhangi bir sorunu olmamalıdır.
Sertifikayı Verme
Herhangi bir istemci makinede (yani, sunucu olmayan herhangi bir bilgisayarda) kendinden imzalı SSL sertifikası kullanan bir siteye erişecekseniz, olası bir sertifika hatası ve uyarı saldırısından kaçınmak için kendinden imzalı sertifika kurulmalıdır. istemci makinelerin her birinde (aşağıda ayrıntılı olarak tartışacağız). Bunu yapmak için önce ilgili sertifikayı istemcilere yüklenebilmesi için dışa aktarmamız gerekir.
Sertifika Yönetimi yüklü konsolun içinde, Güvenilir Kök Sertifika Yetkilileri> Sertifikalar'a gidin. Sertifikayı bulun, sağ tıklayın ve Tüm Görevler> Dışa Aktar'ı seçin.
Özel anahtarı dışa aktarmanız istendiğinde Evet'i seçin. Sonrakine tıkla.
Dosya biçimi için varsayılan seçimleri bırakın ve İleri'ye tıklayın.
Bir parola girin. Bu, sertifikayı korumak için kullanılacak ve kullanıcılar bu şifreyi girmeden onu yerel olarak içe aktaramayacaklar.
Sertifika dosyasını dışa aktarmak için bir konum girin. PFX formatında olacaktır.
Ayarlarınızı onaylayın ve Bitir'i tıklayın.
Elde edilen PFX dosyası, kendi kendine imzalanan sertifikanızın güvenilir bir kaynaktan geldiğini söylemek için istemci makinelerinize yüklenecek dosyadır.
İstemci Makinelerine Dağıtım
Sertifikayı sunucu tarafında oluşturduktan ve her şeyi çalıştırdıktan sonra, bir istemci makine ilgili URL'ye bağlandığında bir sertifika uyarısının görüntülendiğini fark edebilirsiniz. Bunun nedeni, sertifika yetkilisinin (sunucunuz) istemcide SSL sertifikaları için güvenilir bir kaynak olmamasıdır.
Uyarıları tıklayıp siteye erişebilirsiniz, ancak vurgulanmış bir URL çubuğu veya yinelenen sertifika uyarıları şeklinde yinelenen bildirimler alabilirsiniz. Bu rahatsızlığı önlemek için, istemci makineye özel SSL güvenlik sertifikasını yüklemeniz yeterlidir.
Kullandığınız tarayıcıya bağlı olarak bu süreç değişebilir. Hem IE hem de Chrome, Windows Sertifika deposundan okur, ancak Firefox'un güvenlik sertifikalarını işlemek için özel bir yöntemi vardır.
Önemli Not: Malısın asla bilinmeyen bir kaynaktan bir güvenlik sertifikası yükleyin. Pratikte, yerel olarak bir sertifika oluşturduysanız yüklemelisiniz. Hiçbir meşru web sitesi bu adımları gerçekleştirmenizi gerektirmez.
Internet Explorer ve Google Chrome - Sertifikayı Yerel Olarak Yükleme
Not: Firefox yerel Windows sertifika deposunu kullanmasa da bu yine de önerilen bir adımdır.
Sunucudan (PFX dosyası) dışa aktarılan sertifikayı istemci makineye kopyalayın veya bir ağ yolunda mevcut olduğundan emin olun.
Yukarıdakiyle aynı adımları kullanarak istemci makinede yerel sertifika deposu yönetimini açın. Sonunda aşağıdaki gibi bir ekrana geleceksiniz.
Sol tarafta, Sertifikalar> Güvenilir Kök Sertifika Yetkilileri'ni genişletin. Sertifikalar klasörüne sağ tıklayın ve Tüm Görevler> İçe Aktar'ı seçin.
Makinenize yerel olarak kopyalanan sertifikayı seçin.
Sertifika sunucudan dışa aktarıldığında atanan güvenlik şifresini girin.
Mağaza "Güvenilen Kök Sertifika Yetkilileri" hedef olarak önceden doldurulmalıdır. Sonrakine tıkla.
Ayarları gözden geçirin ve Bitir öğesine tıklayın.
Bir başarı mesajı görmelisiniz.
Güvenilen Kök Sertifika Yetkilileri> Sertifikalar klasörü görünümünüzü yenileyin ve mağazada listelenen sunucunun kendinden imzalı sertifikasını görmelisiniz.
Bu yapıldıktan sonra, bu sertifikaları kullanan ve hiçbir uyarı veya istem almayan bir HTTPS sitesine göz atabilmelisiniz.
Firefox - İstisnalara İzin Verme
Firefox, Windows mağazasından sertifika bilgilerini okumadığı için bu işlemi biraz farklı bir şekilde ele alıyor. Sertifikaları (kendi başına) yüklemek yerine, belirli sitelerdeki SSL sertifikaları için istisnalar tanımlamanıza olanak tanır.
Sertifika hatası olan bir siteyi ziyaret ettiğinizde aşağıdaki gibi bir uyarı alacaksınız. Mavi alan, erişmeye çalıştığınız ilgili URL'yi adlandıracaktır. İlgili URL'de bu uyarıyı atlamak üzere bir istisna oluşturmak için, İstisna Ekle düğmesini tıklayın.
Güvenlik İstisnası Ekle iletişim kutusunda, bu istisnayı yerel olarak yapılandırmak için Güvenlik İstisnasını Onayla'yı tıklatın.
Belirli bir site kendi içinden alt etki alanlarına yönlendirme yaparsa, birden çok güvenlik uyarısı istemi alabileceğinizi unutmayın (URL her seferinde biraz farklı olabilir). Yukarıdaki ile aynı adımları kullanarak bu URL'ler için istisnalar ekleyin.
Sonuç
Yapmanız gereken yukarıdaki uyarıyı tekrar etmeye değer asla bilinmeyen bir kaynaktan bir güvenlik sertifikası yükleyin. Pratikte, yerel olarak bir sertifika oluşturduysanız yüklemelisiniz. Hiçbir meşru web sitesi bu adımları gerçekleştirmenizi gerektirmez.
Bağlantılar
Microsoft'tan IIS 6.0 Kaynak Araç Seti'ni (SelfSSL yardımcı programını içerir) indirin
